Mengintegrasikan Defender for Cloud Apps dengan SIEM generik

Penting

Pemberitahuan Penghentian: Microsoft Defender for Cloud Apps Agen SIEM

Sebagai bagian dari proses konvergensi kami yang sedang berlangsung di seluruh beban kerja Microsoft Defender, agen SIEM Microsoft Defender for Cloud Apps akan ditolak mulai November 2025.

Agen SIEM Microsoft Defender for Cloud Apps yang ada akan terus berfungsi apa adanya hingga saat itu. Mulai 19 Juni 2025, tidak ada agen SIEM baru yang dapat dikonfigurasi, tetapi Microsoft Sentinel integrasi agen (Pratinjau), akan tetap didukung dan masih dapat ditambahkan.

Kami merekomendasikan untuk beralih ke API yang mendukung pengelolaan data aktivitas dan peringatan dari beberapa beban kerja. API ini meningkatkan pemantauan dan manajemen keamanan dan menawarkan kemampuan tambahan menggunakan data dari beberapa beban kerja Microsoft Defender.

Untuk memastikan kelangsungan dan akses ke data yang saat ini tersedia melalui agen SIEM Microsoft Defender for Cloud Apps, sebaiknya transisi ke API yang didukung berikut:

Anda dapat mengintegrasikan Microsoft Defender for Cloud Apps dengan server SIEM generik Anda untuk mengaktifkan pemantauan pemberitahuan dan aktivitas terpusat dari aplikasi yang terhubung. Karena aktivitas dan peristiwa baru didukung oleh aplikasi yang terhubung, visibilitas ke dalamnya kemudian diluncurkan ke Microsoft Defender for Cloud Apps. Mengintegrasikan dengan layanan SIEM memungkinkan Anda melindungi aplikasi cloud dengan lebih baik sambil mempertahankan alur kerja keamanan biasa, mengotomatiskan prosedur keamanan, dan berkorelasi antara peristiwa berbasis cloud dan lokal. Agen SIEM Microsoft Defender for Cloud Apps berjalan di server Anda dan menarik pemberitahuan dan aktivitas dari Microsoft Defender for Cloud Apps dan mengalirkannya ke server SIEM.

Ketika Anda pertama kali mengintegrasikan SIEM dengan Defender for Cloud Apps, aktivitas dan peringatan dari dua hari terakhir akan diteruskan ke SIEM, dan setelah itu semua aktivitas dan peringatan akan diteruskan (berdasarkan filter peringatan dan aktivitas yang Anda konfigurasi saat menyiapkan SIEM). Jika Anda menonaktifkan fitur ini untuk jangka waktu yang lama, lalu mengaktifkannya kembali, peringatan dan aktivitas dari dua hari sebelumnya akan diteruskan, lalu semua peringatan dan aktivitas setelah itu.

Solusi integrasi tambahan meliputi:

Arsitektur integrasi SIEM umum

Agen SIEM disebarkan di jaringan organisasi Anda. Setelah diterapkan dan dikonfigurasi, sistem ini mengambil tipe data yang telah dikonfigurasi (peringatan dan aktivitas) menggunakan API RESTful Defender for Cloud Apps. Data pemberitahuan dan aktivitas kemudian dikirim melalui saluran HTTPS terenkripsi pada port 443.

Setelah agen SIEM mengambil data dari Defender for Cloud Apps, agen SIEM mengirim pesan Syslog ke SIEM lokal Anda. Defender for Cloud Apps menggunakan konfigurasi jaringan yang Anda berikan selama penyiapan (TCP atau UDP dengan port kustom).

Diagram arsitektur integrasi SIEM memperlihatkan bagaimana Defender for Cloud Apps mengirim data ke agen SIEM dan seterusnya ke server SIEM.

SIEM yang didukung

Defender for Cloud Apps saat ini mendukung Micro Focus ArcSight dan CEF generik.

Cara mengintegrasikan SIEM Anda dengan Defender for Cloud Apps

Integrasi dengan SIEM Anda dilakukan dalam tiga langkah:

  1. Siapkan di Defender for Cloud Apps.
  2. Unduh file JAR dan jalankan di server Anda.
  3. Validasi bahwa agen SIEM berfungsi.

Prasyarat

  • Windows standar atau server Linux (bisa menjadi komputer virtual).
  • OS: Windows atau Linux
  • CPU: 2
  • Ruang disk: 20 GB
  • Memori RAM: 2 GB
  • Server harus berjalan Java 8. Versi sebelumnya tidak didukung.
  • Keamanan Lapisan Transportasi (TLS) 1.2+. Versi sebelumnya tidak didukung.
  • Atur firewall Anda seperti yang dijelaskan dalam Persyaratan jaringan

Mengintegrasikan dengan SIEM Anda

Langkah 1: Menyiapkannya di Defender for Cloud Apps

Lakukan langkah-langkah berikut untuk membuat dan mengonfigurasi agen SIEM di Defender for Cloud Apps:

  1. Di Portal Microsoft Defender, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah Sistem, pilih agen SIEM. Pilih Tambahkan agen SIEM, lalu pilih SIEM Generik.

    Cuplikan layar halaman Tambahkan integrasi SIEM tempat Anda memilih SIEM Generik untuk mengonfigurasi koneksi baru.

  3. Dalam wizard, pilih Mulai Wizard.

  4. Dalam wizard, isi nama, dan Pilih format SIEM Anda dan atur pengaturan Tingkat Lanjut apa pun yang relevan dengan format tersebut. Pilih Selanjutnya.

    Cuplikan layar halaman pengaturan SIEM Umum dengan bidang untuk nama, format SIEM, dan konfigurasi tingkat lanjut.

  5. Ketik alamat IP atau nama host host syslog Jarak Jauh dan nomor port Syslog. Pilih TCP atau UDP sebagai protokol Syslog Jarak Jauh. Anda dapat bekerja dengan admin keamanan untuk mendapatkan detail ini jika Anda tidak memilikinya. Pilih Selanjutnya.

    Cuplikan layar halaman pengaturan syslog jarak jauh dengan kolom untuk host, port, dan protokol untuk penerusan ke SIEM.

  6. Pilih jenis data mana yang ingin Anda ekspor ke server SIEM Anda untuk Pemberitahuan dan Aktivitas. Gunakan slider untuk mengaktifkan dan menonaktifkannya, secara default, semuanya dipilih. Anda dapat menggunakan menu drop-down Terapkan ke untuk mengatur filter agar hanya mengirim pemberitahuan dan aktivitas tertentu ke server SIEM Anda. Pilih Edit dan pratinjau hasil untuk memeriksa apakah filter berfungsi seperti yang diharapkan. Pilih Selanjutnya.

    Cuplikan layar halaman Pengaturan jenis data memperlihatkan pemberitahuan dan data aktivitas mana yang dapat diekspor ke server SIEM.

  7. Salin token dan simpan untuk nanti. Pilih Selesai dan biarkan Wizard. Kembali ke halaman SIEM untuk melihat agen SIEM yang Anda tambahkan dalam tabel. Agen SIEM muncul dalam tabel dengan status Dibuat hingga agen tersambung ke Defender for Cloud Apps.

Note

Token apa pun yang Anda buat terikat ke admin yang membuatnya. Ini berarti bahwa jika pengguna admin dihapus dari Defender for Cloud Apps, token tidak akan valid lagi. Token SIEM generik menyediakan izin baca-saja untuk satu-satunya sumber daya yang diperlukan. Tidak ada izin lain yang diberikan sebagai bagian dari token ini.

Langkah 2: Unduh file JAR dan jalankan di server Anda

  1. Dalam Pusat Unduh Microsoft, setelah menerima persyaratan lisensi perangkat lunak, unduh file .zip dan buka zipnya.

  2. Jalankan file yang diekstrak di server Anda:

    java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN

Note

  • Nama file mungkin berbeda tergantung pada versi agen SIEM.
  • Parameter dalam tanda kurung [ ] bersifat opsional, dan harus digunakan hanya jika relevan.
  • Sebaiknya jalankan JAR selama startup server.
    • Windows: Jalankan sebagai tugas terjadwal dan pastikan Anda mengonfigurasi tugas agar Jalankan baik pengguna sedang masuk maupun tidak serta hapus centang pada kotak centang Hentikan tugas jika berjalan lebih lama dari.
    • Linux: Tambahkan perintah jalankan dengan & ke file rc.local. Sebagai contoh: java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &

Di mana variabel berikut digunakan:

  • DIRNAME adalah jalur ke direktori yang ingin Anda gunakan untuk log debug agen lokal.
  • ADDRESS[:PORT] adalah alamat dan port server proksi yang digunakan server untuk terhubung ke internet.
  • TOKEN adalah token agen SIEM yang Anda salin ketika Anda selesai membuat agen SIEM di Defender for Cloud Apps.

Anda dapat mengetik -h kapan saja untuk mendapatkan bantuan.

Contoh log aktivitas

Berikut ini adalah contoh log aktivitas yang dikirim ke SIEM Anda:

2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=

Teks berikut adalah contoh logfile pemberitahuan:

2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7

2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=

2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=

2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7

2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=

2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=

Contoh pemberitahuan Defender for Cloud Apps dalam format CEF

Tabel berikut ini menjelaskan bidang CEF yang digunakan dalam pemberitahuan dan aktivitas Defender for Cloud Apps.

Berlaku untuk Nama bidang CEF Deskripsi
Aktivitas/Pemberitahuan mulai Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan end Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan rt Tanda waktu aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan msg Deskripsi aktivitas atau pemberitahuan seperti yang ditunjukkan di portal
Aktivitas/Pemberitahuan suser Pengguna yang menjadi subjek aktivitas atau pemberitahuan
Aktivitas/Pemberitahuan destinationServiceName Aktivitas atau aplikasi asal pemberitahuan, misalnya, Microsoft 365, Sharepoint, Box.
Aktivitas/Pemberitahuan cs<X>Label Setiap label memiliki arti yang berbeda, tetapi label itu sendiri menjelaskannya, misalnya, targetObjects.
Aktivitas/Pemberitahuan cs<X> Informasi yang sesuai dengan label (pengguna target aktivitas atau pemberitahuan sesuai contoh label).
Activities EVENT_CATEGORY_* Kategori aktivitas tingkat tinggi
Activities <TINDAKAN> Jenis aktivitas, seperti yang ditampilkan di portal
Activities externalId ID Peristiwa
Activities dvc IP perangkat klien
Activities requestClientApplication Agen pengguna perangkat klien
Alerts <jenis pemberitahuan> Misalnya, "ALERT_CABINET_EVENT_MATCH_AUDIT"
Alerts <nama> Nama kebijakan yang cocok
Alerts externalId ID pemberitahuan
Alerts src Alamat IPv4 perangkat klien
Alerts c6a1 Alamat IPv6 perangkat klien

Langkah 3: Memvalidasi bahwa agen SIEM berfungsi

  1. Pastikan status agen SIEM di portal bukan kesalahan Koneksi atau Terputus dan tidak ada pemberitahuan agen. Jika koneksi tidak berfungsi selama lebih dari dua jam, status diubah menjadi Kesalahan koneksi. Jika koneksi tidak berfungsi selama lebih dari 12 jam, status diubah menjadi Terputus.

    Cuplikan layar status integrasi SIEM yang menunjukkan koneksi agen terputus.

    Sebagai gantinya, status harus terhubung, seperti yang terlihat di sini:

    Cuplikan layar status integrasi SIEM yang menunjukkan koneksi agen tersambung.

  2. Di server Syslog/SIEM Anda, pastikan Anda melihat aktivitas dan pemberitahuan yang tiba dari Defender for Cloud Apps.

Membuat ulang token Anda

Jika Anda kehilangan token, Anda selalu dapat meregenerasinya dengan memilih tiga titik di akhir baris untuk agen SIEM dalam tabel. Pilih Regenerasi token untuk mendapatkan token baru.

Cuplikan layar opsi pengaturan SIEM untuk meregenerasi token agen.

Mengedit agen SIEM Anda

Untuk mengedit agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Edit. Jika Anda mengedit agen SIEM, Anda tidak perlu menjalankan ulang file .jar, file tersebut akan diperbarui secara otomatis.

Cuplikan layar opsi pengaturan SIEM untuk mengedit konfigurasi integrasi.

Menghapus agen SIEM Anda

Untuk menghapus agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Hapus.

Cuplikan layar opsi pengaturan SIEM untuk menghapus integrasi.

Langkah berikutnya

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.